Art. 3 Erhebliche Sicherheitsvorfälle | Cybersecurity measures and significant incidents for relevant entities | NIS 2

1. Ein Sicherheitsvorfallein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt; gilt in Bezug auf die betreffenden Einrichtungen als erheblich im Sinne von Artikel 23 Absatz 3 der Richtlinie (EU) 2022/2555, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:
  1. der Vorfall hat der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; einen direkten finanziellen Verlust in Höhe von mehr als500 000 EUR oder 5 % ihres jährlichen Gesamtumsatzes im vorangegangenen Geschäftsjahr — je nachdem, welcher Wert niedriger ist — verursacht oder kann einen solchen Verlust verursachen;
  2. der Vorfall hat den Abfluss von Geschäftsgeheimnissen der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; im Sinne von Artikel 2 Nummer 1 der Richtlinie (EU) 2016/943 verursacht oder kann einen solchen Abfluss verursachen;
  3. der Vorfall hat den Tod einer natürlichen Person verursacht oder kann einen solchen Tod verursachen;
  4. der Vorfall hat eine schwere Schädigung der Gesundheit einer natürlichen Person verursacht oder kann eine solche Schädigung verursachen;
  5. es hat einen erfolgreichen, mutmaßlich böswilligen und unbefugten Zugriff auf Netz- und Informationssysteme gegeben, der geeignet ist, schwerwiegende Betriebsstörungen zu verursachen;
  6. der Vorfall erfüllt die in Artikel 4 aufgeführten Kriterien;
  7. der Vorfall erfüllt eines oder mehrere der in den Artikeln 5 bis 14 aufgeführten Kriterien.
1. Planmäßige Betriebsunterbrechungen und geplante Folgen planmäßiger Wartungsarbeiten, die von oder im Auftrag der betreffenden Einrichtungen durchgeführt werden, gelten nicht als erhebliche Sicherheitsvorfälle.
1. Bei der Berechnung der Zahl der von einem Sicherheitsvorfallein Ereignis, das die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit gespeicherter, übermittelter oder verarbeiteter Daten oder der Dienste, die über Netz- und Informationssysteme angeboten werden bzw. zugänglich sind, beeinträchtigt; betroffenen Nutzer für die Zwecke der Artikel 7 und Artikel 9 bis 14 berücksichtigen die betreffenden Einrichtungen Folgendes:
  1. die Zahl der Kunden, die mit der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; einen Vertrag geschlossen haben, der ihnen Zugang zu den Netz- und Informationssystemen der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; oder über diese Netz- und Informationssysteme angebotenen oder zugänglichen Diensten verschafft;
  2. die Zahl der natürlichen oder juristischen Personen, die mit Geschäftskunden verbunden sind, die Netz- und Informationssysteme der betreffenden Einrichtungeine natürliche Person oder nach dem an ihrem Sitz geltenden nationalen Recht geschaffene und anerkannte juristische Person, die in eigenem Namen Rechte ausüben und Pflichten unterliegen kann; oder über diese Netz- und Informationssysteme angebotene oder zugängliche Diensten nutzen.